Las estafas se pueden encontrar en cualquier lugar y Facebook no es una excepción. Y, con la temporada navideña a la vuelta de la esquina, y el mundo aún capeando una pandemia, vale la pena saber qué estafa Facebook podría encontrarle a usted, sus seres cercanos y aquellos con los que tiene relaciones profesionales.

En esta serie de dos partes, analizaremos aquellos que representan un riesgo notable para su cuenta bancaria o su información personal.

«¿Cómo te engaño? Déjame contar las formas «

Esquemas de minería de datos simples y antiguos

Según Vade Secure, una empresa especializada en defensa de correo electrónico, Facebook ocupa el segundo lugar en su lista de las marcas más suplantadas en campañas de phishing , que detalla más en su informe anual Phishers ‘Favorites Q1 2020 .

Las campañas de phishing de Facebook pueden adoptar muchas formas, incluidas las aplicaciones de Facebook y los mensajes SMS, y pueden llegar a través de muchas vías. Podría ser un enlace en Messenger de una conexión o un extraño, un correo electrónico pidiéndole que verifique su «propiedad legal» de su cuenta de Facebook, o una simple publicación pública diseñada para atraer o asustar a los destinatarios para que actúen, lo que generalmente implica la entrega de datos.

Tomemos, por ejemplo, una campaña en la que se les dice a los destinatarios que su cuenta ha sido denunciada por abuso, lo que infringe los estándares de Facebook. Esto luego se combina con un enlace a una página que les dice a los usuarios que ingresen sus credenciales para demostrar que la cuenta en cuestión es suya.

Si miras muy de cerca, no tiene ningún sentido que Facebook (supuestamente) te avise de una posible violación de las reglas y luego solicite una verificación de cuenta. (Cortesía de Vade Security)

Una cosa a tener en cuenta es que cuando se trata de campañas de phishing en Facebook, no importa si apareció por primera vez hace 10 años o hace 10 días. Vemos similitudes en campañas pasadas y presentes porque los phishers las encuentran efectivas contra los usuarios ya que siguen cayendo en los mismos trucos.

Aquí hay un consejo: si le resulta difícil detectar un intento de phishing, un administrador de contraseñas podría ayudarlo al no completar automáticamente las credenciales en los sitios que se supone que debe completar previamente. Una vez que esto suceda, infórmeselo a su equipo de soporte del administrador de contraseñas para que puedan investigar. Mientras tanto, evite ingresar manualmente información en el sitio que su administrador de contraseñas se niega a completar previamente, ya que probablemente sea una página de phishing.

Campañas publicitarias fraudulentas

Aunque esto puede parecer nuevo para el consumidor promedio, aquellos que han establecido una presencia comercial en línea en Facebook están bastante familiarizados con las campañas publicitarias fraudulentas.

Los anuncios fraudulentos son, esencialmente, anuncios falsos o falsos diseñados para engañar a las personas para que les saquen su dinero. Este tipo de campaña ha hecho de Facebook su hogar al secuestrar cuentas de empresas, comunidades o «figuras públicas» y comprar campañas publicitarias para su ejecución.

Los piratas informáticos y los estafadores se dirigen especialmente a las cuentas de Facebook que pueden publicar anuncios, ya que todo está configurado para su uso y abuso. Y aunque algunos ciberdelincuentes crean y dejan deliberadamente cuentas de Facebook para que “maduren” con el tiempo (estamos hablando de años aquí) antes de que se vendan, la mayoría de los estafadores simplemente no podían esperar tanto.

¿Por qué hacen esto? Porque el sistema de Facebook está en busca de trampas que involucren nuevas cuentas. Dejar que las cuentas maduren es una forma de burlar el sistema.

La ejecución de anuncios fraudulentos puede generar enormes sumas de dinero a los estafadores, incluso si solo se publican durante unas horas antes de que se cierren. De hecho, unas pocas horas es todo lo que necesitan para ver un retorno de su inversión de tiempo y esfuerzo.

El año pasado, Henry Lau, cofundador de Privolta, una empresa que se especializa en anuncios centrados en la privacidad, tuvo su cuenta de anuncios de Facebook comprometida por piratas informáticos a través de un tercero, que luego la utilizó para ejecutar una campaña de video de 13 segundos de un vagón de juguete que fue visto por usuarios de Facebook en Australia, Norteamérica y México. Los usuarios interesados ​​que hicieron clic en él fueron llevados a un sitio de venta con código de skimmer de tarjetas incrustado en él.

El anuncio de Facebook de un carro de juguete rojo para niños, que en realidad es un artículo falso, había llegado a más de 60.000 personas en Facebook antes de que fuera cerrado. (Cortesía de CNET)

Aunque Facebook había levantado una bandera roja en su cuenta cuando los estafadores establecieron un presupuesto de campaña de 10,000 USD, la red social no notificó a Lau y permitió que la campaña se desarrollara de todos modos. Wilson dijo que el modelo de Facebook es «aprobar primero, hacer preguntas después».

En el radar: después de comprometer e instalar ransomware en los sistemas de Campari Group, un conocido fabricante de bebidas italiano, el grupo de ransomware Ragnar Locker recurrió a las campañas publicitarias de Facebook para presionar aún más a la empresa. La cuenta que el grupo usó para ejecutar la campaña publicitaria pertenece a un deejay con sede en Chicago. Lea más sobre esto en esta publicación de KrebsOnSecurity .

Estafa de transmisión en vivo y festival de música

La pandemia actual prácticamente ha convertido en virtual todas las formas de contacto con el mundo exterior, incluida la asistencia a conciertos. Sí, los conciertos en vivo son realmente una cosa hoy en día, pero desafortunadamente, las estafas de entradas para conciertos que han plagado tales reuniones musicales también han evolucionado con los tiempos.

Hay varios tipos de esta estafa que se han observado en la naturaleza. Según Celebrity Access , los estafadores han creado varias páginas de Facebook con una lista de eventos de transmisión en vivo falsos por venir. Esto, aparentemente, es una fachada para una campaña de phishing, ya que aquellos que estén interesados ​​en asistir a estas transmisiones tendrían que registrarse con su PII.

Esta es una página de Facebook que enumera los próximos eventos falsos. Para registrarse, se les pide a los fans interesados ​​que entreguen su información de identificación personal (PII) . (Cortesía de Celebrity Access)

Otro sabor de la estafa de transmisión en vivo involucra enlaces de donación falsos . Dado que los músicos locales han migrado sus presentaciones en vivo en línea, los ciberdelincuentes han bombardeado sus páginas oficiales con enlaces fraudulentos con la esperanza de dirigir a los asistentes a la transmisión a un sitio donde se les pide a los fanáticos “donaciones”. Esto fue lo que le sucedió a Steve Lucky & the Rhumba Bums con Carmen Getit , pilares populares en la escena musical del Área de la Bahía, cuando anunciaron una transmisión en vivo el sábado en abril.

Varios festivales de música en el Reino Unido también fueron víctimas de estafadores que emplearon tácticas similares. Kevin Tate, editor de Festival & Events UK, ha descubierto casi un centenar de enlaces fraudulentos a eventos legítimos, como los festivales de Reading y Leeds , el festival Love Saves the Day en Bristol y el festival Noisily . Estos enlaces, dijo Tate, se crearon unos días antes del evento y cobran a las partes interesadas cantidades variables para ver contenido que es, esencialmente, gratuito.

Los anuncios de conciertos falsos también se publican a través de campañas publicitarias en Facebook .

Estafa de transferencia de fondos de PayPal

Facebook Messenger no es ajeno a los mensajes que contienen un alto nivel de falsificación. Desde el otro lado del charco, la policía del condado en el noroeste de Inglaterra emitió una advertencia en agosto sobre una serie de mensajes enviados a través de Facebook desde cuentas que se creía que habían sido secuestradas por piratas informáticos.

Según los detectives , una vez que los estafadores se apoderan de una cuenta legítima de Facebook, luego se ponen en contacto con los amigos y familiares del propietario de la cuenta y les piden que reciban el pago de un comprador por un artículo, generalmente una cámara, según los informes recopilados, supuestamente vendido en eBay.

Luego afirman que no pudieron recibir el pago ellos mismos porque su cuenta de PayPal no funciona, o no tienen una. Indican a la familia o amigo que una vez que reciban el efectivo en su propia cuenta de PayPal, deben transferirlo a su propia cuenta bancaria antes de reenviarlo a una cuenta controlada por el estafador.

Después de que el familiar o amigo organiza una transferencia de dinero desde su cuenta bancaria a la del estafador, el estafador revierte la transacción de PayPal. Por lo tanto, no llega dinero a la cuenta de PayPal del familiar o amigo, y simplemente han dado a sabiendas parte de sus ahorros a los estafadores.